Verwenden Sie dieses Verfahren, um ein PEAP-MS-CHAP v2-Drahtlosprofil (Protected Extensible Authentication-Protokoll-Microsoft Challenge Handshake Authentication-Protokoll, Version 2) zu konfigurieren.

Sie müssen mindestens Mitglied der Gruppe Domain Admins oder einer entsprechenden Gruppe sein, um dieses Verfahren ausführen zu können.

So konfigurieren Sie ein PEAP-MS-CHAP v2-Drahtlosprofil für Computer unter Windows 7 und Windows Vista
  1. Öffnen Sie das Eigenschaftendialogfeld der neuen Drahtlosnetzwerkrichtlinie (IEEE 802.11).

  2. Geben Sie auf der Registerkarte Allgemein in das Feld Richtlinienname einen neuen Namen für die Richtlinie ein, oder übernehmen Sie den Standardnamen.

  3. Geben Sie in das Feld Beschreibung eine Beschreibung der Richtlinie ein.

  4. Wählen Sie Windows für die Drahtlosnetzwerkkonfiguration für Clients verwenden aus, um anzugeben, dass zum Konfigurieren der Einstellungen des Drahtlosnetzwerkadapters die automatische WLAN-Konfiguration verwendet wird.

  5. Führen Sie auf der Registerkarte Allgemein eine der folgenden Aktionen aus:

    • Zum Hinzufügen und Konfigurieren eines neuen Profils klicken Sie auf Hinzufügen, und wählen Sie dann Infrastruktur aus.

    • Zum Bearbeiten eines vorhandenen Profils wählen Sie das zu ändernde Profil aus, und klicken Sie dann auf Bearbeiten.

  6. Wenn Sie ein neues Profil hinzufügen, geben Sie auf der Registerkarte Verbindung in das Feld Profilname einen Namen für das Profil ein. Wenn Sie ein bereits hinzugefügtes Profil bearbeiten, verwenden Sie den vorhanden Profilnamen, oder ändern Sie den Namen nach Bedarf.

  7. Geben Sie in Netzwerkname(n) (SSID) die SSID (Service Set Identifier) für die Drahtloszugriffspunkte ein, und klicken Sie dann auf Hinzufügen.

    Wenn in der Bereitstellung mehrere SSIDs verwendet werden und für alle Drahtloszugriffspunkte die gleichen Drahtlossicherheitseinstellungen verwendet werden, wiederholen Sie diesen Schritt, um die SSIDs aller Drahtloszugriffspunkte hinzuzufügen, auf die dieses Profil angewendet werden soll.

    Wenn in der Bereitstellung mehrere SSIDs verwendet werden und die Sicherheitseinstellungen der einzelnen SSIDs nicht übereinstimmen, konfigurieren Sie für jede SSID-Gruppe, in der die gleichen Sicherheitseinstellungen verwendet werden, ein separates Profil. Wenn beispielsweise eine Gruppe von Drahtloszugriffspunkten vorhanden ist, die für die Verwendung von WPA2-Enterprise und AES konfiguriert sind, und eine andere Gruppe von Drahtloszugriffspunkten, die für die Verwendung von Firmenweiter WPA und TKIP konfiguriert ist, konfigurieren Sie für jede Gruppe von Drahtloszugriffspunkten ein Profil.

  8. Wählen Sie Automatisch verbinden, wenn das Netzwerk in Reichweite ist, um anzugeben, dass Drahtlosclients automatisch Verbindungen mit Drahtloszugriffspunkten herstellen sollen, deren SSID in Netzwerkname(n) (SSID) angegeben ist.

  9. Wählen Sie Mit einem verfügbaren bevorzugteren Netzwerk verbinden aus, um anzugeben, dass Drahtlosclients Verbindungen mit Netzwerken in der Reihenfolge der Priorität herstellen.

  10. Wenn Sie Drahtloszugriffspunkte bereitgestellt haben, bei denen die Unterdrückung des Broadcastsignals konfiguriert ist, wählen Sie Verbinden, selbst wenn das Netzwerk keine Kennung aussendet aus.

    Sicherheit Hinweis

    Das Aktivieren dieser Option kann ein Sicherheitsrisiko darstellen, da Drahtlosclients nach Verbindungen mit Drahtlosnetzwerken suchen bzw. mit Drahtlosnetzwerken eine Verbindung herzustellen versuchen. Standardmäßig ist diese Einstellung nicht aktiviert.

  11. Klicken Sie auf die Registerkarte Sicherheit. Wählen Sie unter Sicherheitsmethoden für dieses Netzwerk auswählen für Authentifizierung die Option WPA2-Enterprise aus, falls dies vom Drahtloszugriffspunkt und den Netzwerkadaptern der Drahtlosclients unterstützt wird. Wählen Sie anderenfalls Firmenweiter WPA aus.

    Hinweis

    Wenn Sie WPA2 auswählen, werden Einstellungen für die schnelle Serverspeicherung verfügbar gemacht, die nicht angezeigt werden, wenn WPA ausgewählt ist. Die Standardeinstellungen für die schnelle Serverspeicherung sind für die meisten Bereitstellungen von Drahtlosnetzwerken ausreichend.

  12. Wählen Sie unter Verschlüsselung die Option AES aus, falls dies vom Drahtloszugriffspunkt und den Netzwerkadaptern der Drahtlosclients unterstützt wird. Wählen Sie anderenfalls TKIP aus.

    Hinweis

    Die Einstellungen für Authentifizierung und Verschlüsselung müssen mit den für den Drahtloszugriffspunkt konfigurierten Einstellungen übereinstimmen.

  13. Wählen Sie unter Netzwerkauthentifizierungsmethode auswählen die Option Microsoft: Geschütztes EAP (PEAP) aus.

  14. Wählen Sie unter Authentifizierungsmodus abhängig von den Anforderungen eine der folgenden Optionen aus: Benutzer- oder Computerauthentifizierung, Computerauthentifizierung, Benutzerauthentifizierung oder Gastauthentifizierung. Standardmäßig ist Benutzer- oder Computerauthentifizierung ausgewählt.

  15. Geben Sie unter Max. Authentifizierungsfehler an, nach wie vielen Authentifizierungsfehlern der Benutzer benachrichtigt wird, dass bei der Authentifizierung ein Fehler aufgetreten ist. Standardmäßig ist der Wert auf 1 festgelegt.

  16. Wählen Sie Benutzerinformationen für zukünftige Verbindungen mit diesem Netzwerk zwischenspeichern aus, um anzugeben, dass Benutzeranmeldeinformationen im Cache gespeichert werden.

  17. Klicken Sie auf Erweitert, und konfigurieren Sie dann Folgendes:

    1. Zum Konfigurieren erweiterter 802.1X-Einstellungen wählen Sie in IEEE 802.1X die Option Erweiterte 802.1X-Einstellungen erzwingen aus, und konfigurieren Sie dann abhängig von den Anforderungen die folgenden Einstellungen: Max. EAPOL-Start-Meld., Wartezeitraum, Startzeitraum und Authentifizierungszeitraum

      Wenn die erweiterten 802.1X-Einstellungen erzwungen werden, sind die Standardwerte für die meisten Bereitstellungen von Drahtlosnetzwerken ausreichend.

    2. Zum Aktivieren des einmaligen Anmeldens wählen Sie Einmaliges Anmelden für dieses Netzwerk aktivieren aus.

    3. Wählen Sie abhängig von den Anforderungen Unmittelbar vor der Benutzeranmeldung ausführen oder Unmittelbar nach der Benutzeranmeldung ausführen aus, um anzugeben, wann einmaliges Anmelden ausgeführt werden soll.

      Die restlichen Standardwerte in Einmaliges Anmelden sind für typische Bereitstellungen von Drahtlosnetzwerken ausreichend.

    4. Geben Sie in Max. Verzögerung der Konnektivität (Sekunden) einen den Anforderungen entsprechenden Wert ein, um anzugeben, nach maximal wie vielen Sekunden die 802.1X-Authentifizierung abgeschlossen und der Netzwerkzugriff autorisiert sein muss.

    5. Wählen Sie Anzeige zusätzlicher Dialoge während der Einzelanmeldung zulassen aus, um Dialoge während der einmaligen Anmeldung zuzulassen.

    6. Wählen Sie Netzwerk verwendet ein anderes VLAN zur Authentifizierung mit Computer- und Benutzeranmeldeinformationen aus, um anzugeben, dass Drahtloscomputer beim Start in einem virtuellen LAN (VLAN) platziert werden und dann nach der Anmeldung des Benutzers beim Computer in ein anderes Netzwerk übertragen werden.

    7. Zum Aktivieren der schnellen Serverspeicherung wählen Sie in Schnelle Serverspeicherung die Option PMK-Zwischenspeicherung aktivieren aus. Die Standardwerte für Gültigkeitsdauer des PMK (Minuten) und Anzahl von Einträgen im PMK-Cache sind normalerweise ausreichend für die schnelle Serverspeicherung.

    8. Wählen Sie Netzwerk verwendet Vorauthentifizierung aus, falls für den Drahtloszugriffspunkt die Vorauthentifizierung konfiguriert ist. Der Standardwert 3 für Max. Vorauthentifizierungsversuche ist normalerweise ausreichend.

    9. Wählen Sie Kryptografie im FIPS 140-2-zertifizierten Modus ausführen aus, um anzugeben, dass für Kryptografie der FIPS 140-2-zertifizierte Modus verwendet wird.

  18. Klicken Sie auf OK, um die Einstellungen zu speichern und zur Registerkarte Sicherheit zurückzugehen.

  19. Klicken Sie auf Eigenschaften. Das Dialogfeld Eigenschaften für geschütztes EAP wird geöffnet.

  20. Vergewissern Sie sich in Eigenschaften für geschütztes EAP, dass Serverzertifikat überprüfen ausgewählt ist.

  21. Wählen Sie unter Vertrauenswürdige Stammzertifizierungsstellen die vertrauenswürdige Stammzertifizierungsstelle (Certification Authority, CA) aus, von der das Serverzertifikat für den Netzwerkrichtlinienserver (Network Policy Server, NPS) ausgestellt wurde.

    Hinweis

    Mit dieser Einstellung werden die vertrauenswürdigen Stammzertifizierungsstellen, denen die Clients vertrauen, auf die ausgewählten Zertifizierungsstellen begrenzt. Wenn keine vertrauenswürdigen Stammzertifizierungsstellen ausgewählt sind, vertrauen die Clients allen Stammzertifizierungsstellen im Speicher vertrauenswürdiger Stammzertifizierungsstellen.

  22. Geben Sie in Verbindung mit diesen Servern herstellen die Namen der einzelnen RADIUS-Server (Remote Authentication Dial-In User Service) genau so ein, wie sie im Feld für den Antragsteller des Serverzertifikats angezeigt werden, um anzugeben, welche RADIUS-Server von den verkabelten Zugriffsclients für Authentifizierung und Autorisierung verwendet werden müssen. Verwenden Sie Semikolons, um mehrere RADIUS-Servernamen anzugeben.

  23. Wenn Sie die Sicherheit und die Benutzerfreundlichkeit verbessern möchten, wählen Sie Keine Benutzeraufforderung zur Autorisierung neuer Server oder vertrauenswürdiger Zertifizierungsstellen aus.

  24. Wählen Sie unter Authentifizierungsmethode auswählen die Option Gesichertes Kennwort (EAP-MSCHAP v2) aus.

  25. Zum Aktivieren der schnellen PEAP-Wiederherstellung wählen Sie Schnelle Wiederherstellung der Verbindung aktivieren aus.

  26. Wählen Sie Netzwerkzugriffsschutz erzwingen aus, um anzugeben, dass durch den Netzwerkzugriffsschutz (Network Access Protection, NAP) Systemintegritätsprüfungen auf Clients ausgeführt werden, bevor Verbindungen mit dem Netzwerk zugelassen werden. Dadurch soll sichergestellt werden, dass die Clients den die Integritätsanforderungen erfüllen.

  27. Wählen Sie Verbindung trennen, wenn Server kein Kryptografiebindungs-TLV vorweist aus, um Kryptografiebindungs-TLV erforderlich zu machen.

  28. Wählen Sie Identitätsdatenschutz aktivieren aus, und geben Sie in Anonyme Identität einen Namen oder Wert ein, oder lassen Sie das Feld leer, um die Clients so zu konfigurieren, dass diese nicht ihre Identität als Klartext senden, bevor der RADIUS-Server vom Client authentifiziert wurde.

    Wenn beispielsweise Identitätsdatenschutz aktivieren aktiviert ist und Sie den Wert guest für die anonyme Identität verwenden, wird für einen Benutzer mit der Identität alice@realm die Identitätsantwort guest@realm verwendet. Wenn Sie Identitätsdatenschutz aktivieren auswählen, ohne einen Wert für die anonyme Identität bereitzustellen, lautet die Identitätsantwort @realm.

  29. Klicken Sie auf Konfigurieren. Überprüfen Sie im Dialogfeld EAP-MSCHAPv2-Eigenschaften, ob Automatisch eigenen Windows-Anmeldenamen und Kennwort (und Domäne, falls vorhanden) verwenden aktiviert ist. Klicken Sie auf OK, und klicken Sie dann erneut auf OK, um das Dialogfeld Eigenschaften für geschütztes EAP zu schließen.

  30. Klicken Sie auf OK, um die Einstellungen zu speichern und die Registerkarte Sicherheit zu schließen. Klicken Sie dann erneut auf OK, um die Vista-Drahtlosnetzwerkrichtlinie zu schließen.


Inhaltsverzeichnis